Zurück zum Blog
Windows Sicherheit

Windows 11: Januar 2026 Patch Tüsday, Zero-Day-Lücken und Notfall-Updates erklärt

19. Januar 2026
14 Min. Lesezeit

Überblick: Was wurde im Januar 2026 gefixt?

Am Patch Tüsday vom 13. Januar 2026 hat Microsoft Sicherheitsupdates für insgesamt 114 Schwachstellen in Windows und anderen Produkten veröffentlicht. Acht davon stuft Microsoft als kritisch ein.

Besonders wichtig sind drei Zero-Day-Schwachstellen in Windows, also Lücken, die bereits bekannt waren, bevor ein offizieller Patch verfügbar war:

  • 1 Zero-Day wurde aktiv ausgenutzt (Angriffe liefen bereits).
  • 2 Zero-Days waren oeffentlich dokumentiert, konnten also von Angreifern schnell nachgebaut werden.

Für Windows 11 sind vor allem die kumulativen Updates KB5074109 und KB5073455 relevant. Sie verbessern die Plattform-Sicherheit, Stabilität und Performance.

---

Die drei Zero-Day-Schwachstellen – in einfachen Worten

Microsoft und mehrere Sicherheitsanbieter berichten von drei Zero-Day-Lücken, die mit diesem Patch Tüsday geschlossen wurden. Die wichtigsten Punkte:

1.Desktop Window Manager (DWM) – Informationsabfluss (aktiv ausgenutzt)

- Angreifer konnten sensible Informationen aus dem Speicher abgreifen.

- Das erleichtert weitere Angriffe, zum Beispiel das Umgehen von Schutzmechanismen.

2.Windows-Komponenten mit Rechteausweitung (Elevation of Privilege)

- Mehrere Lücken erlaubten es, dass ein Benutzer mit wenigen Rechten plötzlich so viele Rechte wie ein Administrator bekam.

- Damit lassen sich Sicherheitsfunktionen deaktivieren, Malware daürhaft verankern und Daten manipulieren.

3.Remote Code Execution in Windows-Diensten

- Ueber speziell präpierte Datenpakete oder Dateien konnten Angreifer eigenen Code ausführen.

- Im schlimmsten Fall kann ein Rechner komplett uebernommen werden, ohne dass der Benutzer viel tun muss.

Auch wenn die genaün CVE-Nummern je nach Quelle leicht variieren, ist die Botschaft klar:

Wer Windows 11 nutzt, sollte diese Updates so schnell wie möglich installieren.

---

Welche Windows-11-Updates sind wichtig?

Für Windows 11 wurden unter anderem folgende Pakete veröffentlicht:

  • KB5074109 – Kumulatives Update für aktuelle Windows-11-Versionen
  • KB5073455 – Weiteres kumulatives Sicherheits- und Qualitätsupdate

Sie bringen:

  • Fixes für alle drei Zero-Day-Lücken
  • Patches für insgesamt 114 Schwachstellen in Windows-Komponenten
  • Fehlerbehebungen zur Verbesserung von Stabilität und Kompatibilität

Wenn Sie automatische Updates eingeschaltet haben, werden diese Pakete in der Regel selbstständig installiert. Auf Firmengeräten geschieht dies oft ueber ein zentrales Patch-Management.

---

Out-of-Band-Updates: Notfall-Patches ausser der Reihe

Neben dem regulären Patch Tüsday gibt es gelegentlich sogenannte Out-of-Band-Updates. Das sind Notfall-Patches, die Microsoft ausserhalb des normalen Rhythmus veröffentlicht, wenn ein Problem so ernst ist, dass es nicht warten kann.

Typische Gründe für Out-of-Band-Updates sind:

  • Eine Sicherheitslücke wird massiv ausgenutzt.
  • Ein Patch Tüsday Update verursacht schwere Nebenwirkungen (z.B. Server-Dienste fallen aus).
  • Kritische Infrastruktur oder viele Cloud-Dienste sind betroffen.

Ein Beispiel: Anfang 2026 gab es ein Out-of-Band-Update wegen Problemen mit MSMQ und IIS, bei denen Qüüs ausfielen und Webseiten nicht mehr verfügbar waren. Hier musste Microsoft schnell nachbessern, um Produktionssysteme zu stabilisieren.

Wichtig zu wissen:

  • Out-of-Band-Updates sind nicht optional, wenn Ihr System betroffen ist.
  • Sie erscheinen ebenfalls in Windows Update, werden aber gesondert dokumentiert.

---

Was bedeuten 114 Schwachstellen konkret?

Die 114 geschlossenen Lücken verteilen sich auf verschiedene Kategorien:

  • Rechteausweitung (Elevation of Privilege)

Angreifer verschaffen sich höhere Rechte, als sie eigentlich haben sollten.

  • Informationsoffenlegung (Information Disclosure)

Vertrauliche Daten können ausgespäht werden.

  • Remote Code Execution (RCE)

Angreifer können aus der Ferne Programmcode ausführen.

  • Spoofing & Manipulation

Systeme oder Nutzer werden getäuscht, um falsche Identitäten zu akzeptieren.

Auch wenn nicht jede einzelne Schwachstelle in jeder Umgebung ausnutzbar ist, gilt:

Die Angriffsoberfläche wird mit diesem Patch spürbar kleiner.

---

Was müssen normale Windows-11-Nutzer jetzt tun?

Wenn Sie Ihren privaten PC oder Laptop nutzen und keine Spezialkonfiguration haben, genügt meist Folgendes:

1.Updatesprüfung starten

- Oeffnen Sie EinstellungenWindows Update.

- Klicken Sie auf "Nach Updates suchen".

2.Alle wichtigen Updates installieren

- Installieren Sie alle als wichtig oder kumulativ gekennzeichneten Updates, insbesondere solche mit den Nummern KB5074109 und KB5073455.

3.Neustart nicht aufschieben

- Viele Sicherheitsfixes werden erst nach einem Neustart aktiv.

- Speichern Sie Ihre Arbeit und starten Sie den Rechner zeitnah neu.

4.Automatische Updates eingeschaltet lassen

- So erhalten Sie künftige Sicherheitsupdates automatisch.

---

Was sollten Unternehmen und Admins tun?

In Unternehmensumgebungen reicht "Einfach alles installieren" oft nicht, weil Ausfallzeiten teuer sind. Trotzdem dürmen gerade Zero-Days nicht.

Empfohlene Vorgehensweise:

1.Risikobasierte Priorisierung

- Systeme, die direkt aus dem Internet erreichbar sind (Terminalserver, Webserver, VPN-Gateways), zürst patchen.

- Kritische Server mit vielen Benutzern und sensiblen Daten schnell nachziehen.

2.Testfenster kurz halten

- Patches kurz in einer Testumgebung prüfen, aber nicht wochenlang warten.

- Fokus auf Kernapplikationen: ERP, CRM, Fachanwendungen.

3.Monitoring nach dem Patch

- Ereignisprotokolle und Monitoring-Systeme im Blick behalten.

- Auffällige Fehlermeldungen oder Performanceprobleme früh erkennen.

4.Kommunikation mit den Nutzern

- Nutzer rechtzeitig ueber geplante Neustarts informieren.

- Kurze Erklärung geben, warum dieses Update besonders wichtig ist (Zero-Days, aktive Ausnutzung).

5.Out-of-Band-Updates ernst nehmen

- Sicherheitsmeldungen von Microsoft, CISA und Herstellern der eigenen Sicherheitslösungen verfolgen.

- Notfall-Patches priorisiert ausrollen.

---

Wie kann man prüfen, ob man geschützt ist?

Unter Windows 11 direkt

1.EinstellungenSystemInfo oeffnen.
2.Unter Windows-Spezifikationen die Buildnummer prüfen.
3.Mit der Dokumentation zu KB5074109 / KB5073455 vergleichen – dort ist angegeben, welche Build als aktuell gilt.

Mit einfachen Mitteln im Unternehmen

  • Patch-Status im zentralen Management-System (z.B. Intune, WSUS, SCCM) prüfen.
  • Berichte so konfigurieren, dass Zero-Day-relevante Patches separat ausgewiesen werden.
  • Stichproben auf einzelnen Clients/Servern durchführen.

---

Fazit: Januar 2026 ist kein Patch, den man liegen lassen sollte

Mit 114 geschlossenen Schwachstellen, darunter drei Zero-Days und einem aktiv ausgenutzten Fehler im Desktop Window Manager, ist der Januar 2026 ein sicherheitskritischer Patch-Zyklus.

Für private Windows-11-Nutzer bedeutet das vor allem:

  • Windows Update laufen lassen,
  • Neustart machen,
  • automatische Updates nicht deaktivieren.

Für Unternehmen gilt:

  • Zero-Day-Patches und mögliche Out-of-Band-Updates gehören an die Spitze der Prioritätenliste,
  • Patching muss schnell, aber kontrolliert und ueberwacht ablaufen.

Je früher diese Updates eingespielt werden, desto kleiner ist die Chance, dass Angreifer die nun bekannten Schwachstellen erfolgreich ausnutzen.